CN115174600A - 一种用于云存储系统的密文数据加密、安全检索方法及装置 - Google Patents

一种用于云存储系统的密文数据加密、安全检索方法及装置 Download PDF

Info

Publication number
CN115174600A
CN115174600A CN202210692607.5A CN202210692607A CN115174600A CN 115174600 A CN115174600 A CN 115174600A CN 202210692607 A CN202210692607 A CN 202210692607A CN 115174600 A CN115174600 A CN 115174600A
Authority
CN
China
Prior art keywords
data
ciphertext
encryption
cloud storage
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202210692607.5A
Other languages
English (en)
Inventor
孙丽雪
秦玉鹏
豆建峰
范三妞
曾福庚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan Institute of Technology
Original Assignee
Henan Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan Institute of Technology filed Critical Henan Institute of Technology
Priority to CN202210692607.5A priority Critical patent/CN115174600A/zh
Publication of CN115174600A publication Critical patent/CN115174600A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种用于云存储系统的密文数据加密、安全检索方法及装置,在数据拥有者端根据数据拥有者和数据检索者的身份信息及系统公钥为关键词生成加密索引,发送至服务器存储的密文文件携带加密索引;在数据检索者端根据数据检索者私钥、数据拥有者身份信息及系统公钥为待检索关键词生成陷门,发送陷门至服务器;在服务器端对接收的陷门和所存储密文文件的加密索引匹配成功后再将相应的密文文件发送至数据检索者。采用本发明的技术方案,可以提高数据保密性,抵抗选择关键词攻击和内外部关键词猜测攻击,并减少用户计算开销等。

Description

一种用于云存储系统的密文数据加密、安全检索方法及装置
技术领域
本发明属于云存储系统中的通信技术领域,具体涉及一种用于云存储系统的密文数据加密、安全检索方法及装置。
背景技术
云计算是一种基于互联网的按使用量付费的模式,这种模式为用户提供了多种新颖便捷可靠的服务,包括服务器、存储、应用软件等。其中,云存储服务使得用户能够在任意位置灵活地维持、访问及共享自己外包的数据,减轻了用户局部管理数据的负担,因而受到越来越多的关注,许多个人和组织都倾向于把自己的数据托管到云服务器上。然而,云存储服务的出现给用户带来便捷的同时也伴随着严重的安全威胁。云存储系统是一个公共数据中心,用户将数据存储到云服务器以后,数据就脱离了用户的物理控制。用户外包的数据可能含有个人或者企业隐私信息,一旦信息泄露将会给用户带来极大的损失。而大部分云服务提供商并不提供数据安全防护服务,仅是建议用户在服务器上安装三方防护软件。
云数据安全主要面临来自外部和内部的双重挑战。在云存储环境中,存在着众多恶意的外部攻击者,为了自己的利益,他们可能从用户存储或者检索的数据中获取用户的隐私信息。另一方面,恶意的内部云服务提供商能够读取用户存储在云服务器上的机密数据,从而造成用户隐私信息的泄露。可以看到,数据安全问题是云服务提供商应该着力解决的问题,这是关乎云存储服务能否被广泛应用的关键问题。
为了从根本上保护数据隐私,数据拥有者应该确保即使在网络攻击者能够获取存储数据的情况下,数据的机密性仍然不会受到威胁。因而,数据拥有者往往在把数据存储到云服务器之前,对数据进行加密处理。加密使得数据对于任何没有解密密钥的人是不可读的,但是当用户需要使用某些数据时,就面临着对密文数据检索这一挑战性的问题。按照传统的做法,用户可以先从云服务器取回加密的文件,进行解密后再检索。但是,如果云服务器上存储了大量加密的文件,取回和解密所有加密的文件将会给用户带来极大的通信和计算开销,用户得到所需要文件的效率是极低的。此外,用户需要检索数据(例如:个人医疗数据,或者公司的金融数据)时用到的关键词通常包含一些机密信息,他们希望对外部攻击者和云存储服务器都是保密的。
基于此,通过为存储到云服务器上的密文数据建立加密的关键词索引,可搜索加密技术使得对密文数据检索成为可能。这种技术避免了传统做法存在的问题,同时不会泄露用户检索的关键词的信息。现有技术中出现了多种数据加密及检索方案,难以同时保证数据保密性及降低用户计算开销等。例如基于公钥基础设施(PKI)的公钥可搜索加密方案,该方案的缺点在于:一是用户使用任何公钥之前都需要先验证公钥证书的合法性,从而增加了用户的计算开销;二是证书权威需要管理大量的证书,包括证书的颁发、存储和撤销等。
发明内容
本发明提供一种用于云存储系统的密文数据加密、安全检索方法及装置,以提高数据保密性,抵抗选择关键词攻击和内外部关键词猜测攻击,并减少用户计算开销等。
为达上述目的,根据本发明实施例的第一方面,本发明提供了一种用于云存储系统的密文数据安全检索方法,包括:通过对称加密算法加密明文文件得到密文文件;提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、系统主公钥分别计算每个关键词的加密索引;将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
可选地,还包括:根据数据检索者的公钥,通过公钥密码算法加密对称加密算法中所用到的对称秘钥得到对称秘钥密文数据,将所述加密索引附在对称秘钥密文数据后;所述将携带加密索引的密文文件发送至服务器,包括:将携带加密索引和对称秘钥密文数据的密文文件发送至服务器。
可选地,所述根据数据拥有者和数据检索者的身份信息、数据检索者的公钥分别计算每个关键词的加密索引,包括:对于每个关键词wi随机地选择
Figure BDA0003700726680000021
并计算Ci1=e(rH1(IDR),H2(wi)SKIDS),C2=rH1(IDS)和C3=rPpub;设置关键词wi的加密的索引为
Figure BDA0003700726680000022
其中,1≤i≤n,IDS和IDR分别为数据拥有者和数据检索者的身份信息,H1,H2分别为两个安全的抵抗碰撞的哈希函数,Ppub为系统主公钥;
Figure BDA0003700726680000023
为系统参数,是素数p的整数模的乘法群;e(·,·)为一个双线性映射e:G×G→GT,G,GT分别为一个加法循环群和一个乘法循环群。
根据本发明实施例的第二方面,本发明还提供了一种用于云存储系统的密文数据安全检索方法,包括:根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门;将所述待检索关键词的陷门发送至服务器;接收服务器发送的待检索关键词对应的密文文件。
可选地,所述为待检索关键词生成陷门,包括:选择一个随机数应用哈希函数和乘法运算计算待检索关键词w′的陷门:Tw′=(T1,T2),其中,
Figure BDA0003700726680000031
T2=tH1(IDS);式中,IDS和IDR分别为数据拥有者和数据检索者的身份信息;H1,H2分别为两个安全的抵抗碰撞的哈希函数;随机数
Figure BDA0003700726680000032
为系统参数,是大素数p的整数模的乘法群。
根据本发明实施例的第三方面,本发明还提供了一种用于云存储系统的密文数据安全检索方法,包括:接收并存储数据拥有者发送的携带加密索引的密文文件,所述密文文件为根据本发明实施例第一方面提供的用于云存储系统的密文数据加密方法生成的;接收数据检索者发送的待检索关键词的陷门,所述陷门为根据本发明实施例第二方面提供的用于云存储系统的密文数据安全检索方法生成的;查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配;在匹配时将对应的密文文件发送至数据检索者。
可选地,所述检验加密索引与陷门中的待检索关键词是否匹配,包括:计算双线性映射e(C3,T2)和e(C2,T1),并检验等式Ci1e(C3,T2)=e(C2,T1)是否成立;如果成立,则确定加密索引与陷门匹配;如果不成立,则确定加密索引与陷门不匹配。
根据本发明实施例的第四方面,本发明还提供了一种用于云存储系统的密文数据加密装置,包括:加密模块,用于通过对称加密算法加密明文文件得到密文文件;计算模块,用于提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、数据检索者的公钥分别计算每个关键词的加密索引;第一发送模块,用于将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
根据本发明实施例的第五方面,本发明还提供了一种用于云存储系统的密文数据安全检索装置,包括:生成模块,用于根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门;第二发送模块,用于将所述待检索关键词的陷门发送至服务器;第一接收模块,用于接收服务器发送的待检索关键词对应的密文数据。
根据本发明实施例的第六方面,本发明还提供了一种用于云存储系统的密文数据安全检索装置,包括:第二接收模块,用于接收并存储数据拥有者发送的携带加密索引的密文文件,所述密文文件为根据本发明实施例第四方面提供的用于云存储系统的密文数据加密装置生成的;第三接收模块,用于接收数据检索者发送的待检索关键词的陷门,所述陷门为根据本发明实施例第五方面提供的用于云存储系统的密文数据安全检索装置生成的;匹配模块,用于查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配;第三发送模块,用于在匹配时将对应的密文文件发送至数据检索者。
本发明实施例的一种用于云存储系统的密文数据加密、安全检索方法及系统,通过在数据拥有者端根据数据拥有者和数据检索者的身份信息及系统公钥为关键词生成加密索引,发送至服务器存储的密文文件携带加密索引;在数据检索者端根据数据检索者私钥、数据拥有者身份信息及系统公钥为待检索关键词生成陷门,发送陷门至服务器;在服务器端对接收的陷门和所存储密文文件的加密索引匹配成功后再将相应的密文文件发送至数据检索者。本发明的技术方案在云存储系统中实现数据拥有者和数据检索者之间的安全数据通讯,是根据基于身份信息的密码体制构建的,与基于PKI的密文数据检索方案相比,在达到同样的安全强度时,具有如下优势:私钥生成中心不需要存储和管理大量的用户公钥,且没有用户公钥证书的合法性验证任务;可以抵抗云服务提供商发起的内部关键词猜测攻击,即当数据检索者使用关键词的陷门检索密文数据时,云服务提供商无法猜测出数据检索者检索的关键词内容。
其中,在数据保密性方面,在数据拥有者和数据检索者的通信中,明文文件是经对称加密算法加密后上传到云服务器上的,数据拥有者再使用数据检索者的公钥加密对称密钥,因而只有数据检索者可以解密密文文件,恢复对称密钥而最终解密密文文件得到明文文件,因此,本发明的技术方案提高了数据保密性;
在抵抗选择关键词攻击方面,在加密索引生成过程中使用了数据检索者的身份信息,这就意味着只有该数据检索者才能生成有效的陷门,如果不知道该数据检索者的私钥,攻击者就不能产生有效的陷门,也就不能猜测出加密索引中的关键词,因此,本发明的技术方案可以有效地抵抗选择关键词攻击;
在抵抗外部和内部关键词猜测攻击方面,当攻击者(包括外部敌手和云服务提供商)在网络中获取了关键词的陷门之后,由于其没有数据拥有者的私钥,因而不能生成有效的加密索引来匹配获取的陷门,也就不能猜测出陷门中的关键词,因此,本发明的技术方案可以抵抗外部和内部关键词猜测攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的一种用于云存储系统的密文数据加密方法的流程示意图;
图2为本发明实施例二的一种用于云存储系统的密文数据安全检索方法的流程示意图;
图3为本发明实施例三的一种用于云存储系统的密文数据安全检索方法的流程示意图;
图4为本发明实施例四的一种用于云存储系统的密文数据加密装置的结构示意图;
图5为本发明实施例五的一种用于云存储系统的密文数据安全检索装置的流程示意图;
图6为本发明实施例六的一种用于云存储系统的密文数据安全检索装置的流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其他方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的基体实施的限制。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
本领域技术人员可以理解,本发明实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。以及,所使用的术语“/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明的实施例的用于云存储系统的密文数据加密、安全检索方法及装置中,云存储系统包括服务器端及与服务器端相关联的数据拥有者端和数据检索者端,以及与服务器端、数据拥有者端和数据检索者端均相关联的私钥生成中心,私钥生成中心为可信的第三方,用于生成系统参数,以及根据数据拥有者和数据检索者的身份信息分别为数据拥有者和数据检索者生成私钥。
本发明的发明构思是,由私钥生成中心为数据拥有者和数据检索者生成私钥及系统参数,在数据拥有者端根据数据拥有者和数据检索者的身份信息及系统公钥为关键词生成加密索引,发送至服务器存储的密文文件携带加密索引;在数据检索者端根据数据检索者私钥、数据拥有者身份信息及系统公钥为待检索关键词生成陷门,发送陷门至服务器;在服务器端对接收的陷门和所存储密文文件的加密索引匹配成功后再将相应的密文文件发送至数据检索者。
本发明的技术方案在云存储系统中实现数据拥有者和数据检索者之间的安全数据通讯,是根据基于身份信息的密码体制构建的,与基于PKI的密文数据检索方案相比,在达到同样的安全强度时,具有如下优势:私钥生成中心不需要存储和管理大量的用户公钥,且没有用户公钥证书的合法性验证任务;可以抵抗云服务提供商发起的内部关键词猜测攻击,即当数据检索者使用关键词的陷门检索密文数据时,云服务提供商无法猜测出数据检索者检索的关键词内容。
在介绍本发明实施例的用于云存储系统的密文数据加密、安全检索方法及装置之前,先说明云存储系统的初始化,由私钥生成中心生成主私钥及系统公开参数,并保密主私钥,具体地:
(1)给定安全参数λ,并选择一个阶为素数p的加法群G,一个具有相同阶数p的乘法循环群GT,群G的生成元P和双线性映射e:G×G→GT
(2)选择一个随机数
Figure BDA0003700726680000061
作为主密钥,计算主公钥Ppub=sP;
(3)选择两个抵抗碰撞的哈希函数H1:{0,1}*→G和
Figure BDA0003700726680000062
(4)设置系统公开参数为{p,P,G,GT,e(·,·),Ppub,H1,H2}。
私钥生成中心所设置各参数详见下表:
Figure BDA0003700726680000063
Figure BDA0003700726680000071
其中,私钥生成中心为私钥时,可以获取数据拥有者和检索者分别发送的身份信息IDS和IDR,并根据数据拥有者的身份信息IDS计算其私钥,
Figure BDA0003700726680000072
根据数据检索者的身份信息IDR计算其私钥为
Figure BDA0003700726680000073
并私钥
Figure BDA0003700726680000074
Figure BDA0003700726680000075
分别发送给数据拥有者和数据检索者。以及,计算数据拥有者的公钥H1(IDS)和数据检索者的公钥H1(IDR)。
实施例一
参照图1,示出了根据本发明实施例一的一种用于云存储系统的密文数据加密方法的流程示意图。本实施例的用于云存储系统的密文数据加密方法的执行主体可以是数据拥有者端的计算机等电子设备,但本领域技术人员应当明了,在实际应用中,任意具有相应的数据收发和处理功能的其他设备,均可以参考本实施例执行本发明的一种用于云存储系统的密文数据加密方法。
本实施例的一种用于云存储系统的密文数据加密方法包括以下步骤:
步骤S101,通过对称加密算法加密明文文件得到密文文件;
在数据拥有者需要将数据文件存储到云服务器时,数据拥有者端利用对称加密算法对需要保密存储的明文文件M中的每个数据文件进行加密,得到多个密文数据形成密文文件CM=EK(M),其中,K是对称加密算法用到的对称密钥。
步骤S102,提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、系统主公钥分别计算每个关键词的加密索引。
一种可选的实施方式中,提取明文文件M中的多个关键词w1,w2,K,wn,对于其中的每个关键词wi,随机地选择
Figure BDA0003700726680000081
计算
Figure BDA0003700726680000082
C2=rH1(IDS)和C3=rPpub;并设置关键词wi的加密索引为
Figure BDA0003700726680000083
其中,1≤i≤n。
步骤S103,将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
在为每个关键词生成对应的加密索引后,把关键词wi的加密索引附在密文文件CM后,得到携带加密索引的密文文件CM||(Ci1,Ci2,K,Cin,C2,C3)。
可选地,在执行步骤S101时,在对称加密算法中,根据数据检索者的公钥Ppub,通过公钥密码算法加密对称加密算法中所用到的对称秘钥K,得到对称秘钥密文数据
Figure BDA0003700726680000084
使得数据检索者只能在检索对称秘钥密文数据后,才能利用对称秘钥解锁密文文件,进一步提高数据保密性。相应地,在执行步骤S103时,将加密索引附在文文件和对称秘钥密文数据后得到密文文件CM||CK||(Ci1,Ci2,...,Cin,C2,C3),并将携带加密索引和对称秘钥密文数据的密文文件发送至服务器端。
实施例二
参照图2,示出了根据本发明实施例二的一种用于云存储系统的密文数据安全检索方法的流程示意图。本实施例的用于云存储系统的密文数据安全检索方法的执行主体可以是数据检索者端的计算机等电子设备,但本领域技术人员应当明了,在实际应用中,任意具有相应的数据收发和处理功能的其他设备,均可以参考本实施例执行本发明的一种用于云存储系统的密文数据安全检索方法。
本实施例的一种用于云存储系统的密文数据安全检索方法包括以下步骤:
步骤S201,根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门。
在数据检索者需要查看数据拥有者存储在云服务器的数据文件时,对于想要检索的待检索关键词计算对应陷门,具体地,可选择一个随机数
Figure BDA0003700726680000091
应用哈希函数和乘法运算计算待检索关键词w′的陷门:Tw′=(T1,T2),其中,
Figure BDA0003700726680000092
T2=tH1(IDS)。
步骤S202,将待检索关键词的陷门发送至服务器。
步骤S203,接收服务器发送的待检索关键词对应的密文文件。
数据检索者端将待检索关键词的陷门发送至服务器,服务器端根据接收该陷门,查找其存储的密文文件的关键词索引进行匹配,在匹配成功后向数据检索者端发送对应的密文文件,数据检索者端接收服务器发送的密文文件,也即,数据检索者想要查看的数据文件。
实施例三
参照图3,示出了根据本发明实施例三的一种用于云存储系统的密文数据安全检索方法的流程示意图。本实施例的用于云存储系统的密文数据安全检索方法的执行主体可以是服务器端的计算机等电子设备,但本领域技术人员应当明了,在实际应用中,任意具有相应的数据收发和处理功能的其他设备,均可以参考本实施例执行本发明的一种用于云存储系统的密文数据安全检索方法。
本实施例的一种用于云存储系统的密文数据安全检索方法包括以下步骤:
步骤S301,接收并存储数据拥有者发送的携带加密索引的密文文件。
可选地,数据拥有者端执行上述实施例一的一种用于云存储系统的密文数据加密方法,加密需要存储到服务器的数据文件后,将携带加密索引的密文文件发送至服务器,服务器端接收密文文件并存储到本地数据库中。
步骤S302,接收数据检索者发送的待检索关键词的陷门,查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配。
可选地,数据检索者端执行上述实施例二的一种用于云存储系统的密文数据安全检索方法,生成待检索关键词的陷门发送至服务器,服务器端接收该陷门后,在数据库中查找其存储的每个密文文件的关键词的加密索引,将所有加密索引与陷门中的待检索关键词进行匹配。具体地,可计算双线性映射e(C3,T2)和e(C2,T1),并检验等式Ci1e(C3,T2)=e(C2,T1)是否成立;如果成立,则确定加密索引与陷门匹配;如果不成立,则确定加密索引与陷门不匹配。
步骤S303,在匹配时将对应的密文文件发送至数据检索者。
在检验到有加密索引的关键词与陷门中的待检索关键词匹配时,确定加密索引对应的密文文件为数据检索者想要查看的数据文件,即可从数据库汇总提取该密文文件发送给数据检索者端。
实施例四
参照图4,示出了根据本发明实施例四的一种用于云存储系统的密文数据加密装置的结构示意图。
本发明实施例的一种用于云存储系统的密文数据加密装置包括:
加密模块401,用于通过对称加密算法加密明文文件得到密文文件;
计算模块402,用于提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、数据检索者的公钥分别计算每个关键词的加密索引;
第一发送模块403,用于将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
可选地,加密模块401还用于根据数据检索者的公钥,通过公钥密码算法加密对称加密算法中所用到的对称秘钥得到对称秘钥密文数据;第一发送模块403用于将所述加密索引附在对称秘钥密文数据后,将携带加密索引和对称秘钥密文数据的密文文件发送至服务器。
可选地,计算模块402用于对于每个关键词wi随机地选择
Figure BDA0003700726680000101
并计算
Figure BDA0003700726680000102
C2=rH1(IDS)和C3=rPpub;设置关键词wi的加密的索引为
Figure BDA0003700726680000103
其中,1≤i≤n,IDS和IDR分别为数据拥有者和数据检索者的身份信息,H1,H2分别为两个安全的抵抗碰撞的哈希函数,Ppub为系统主公钥;
Figure BDA0003700726680000104
为系统参数,是素数p的整数模的乘法群;e(·,·)为一个双线性映射e:G×G→GT,G,GT分别为一个加法循环群和一个乘法循环群。
本实施例的用于云存储系统的密文数据加密装置用于实现前述实施例一中相应的用于云存储系统的密文数据加密方法,并具有相应的方法实施例的有益效果,在此不再赘述。
实施例五
参照图5,示出了根据本发明实施例五的一种用于云存储系统的密文数据安全检索装置的结构示意图。
本发明实施例的一种用于云存储系统的密文数据安全检索装置包括:
生成模块501,用于根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门;
第二发送模块502,用于将所述待检索关键词的陷门发送至服务器;
第一接收模块503,用于接收服务器发送的待检索关键词对应的密文数据。
可选地,所述生成模块用于选择一个随机数应用哈希函数和乘法运算计算待检索关键词w′的陷门:Tw′=(T1,T2),其中,
Figure BDA0003700726680000111
T2=tH1(IDS);式中,IDS和IDR分别为数据拥有者和数据检索者的身份信息;H1,H2分别为两个安全的抵抗碰撞的哈希函数;随机数
Figure BDA0003700726680000112
为系统参数,是大素数p的整数模的乘法群。
本实施例的用于云存储系统的密文数据安全检索装置用于实现前述实施例二中相应的用于云存储系统的密文数据安全检索方法,并具有相应的方法实施例的有益效果,在此不再赘述。
实施例六
参照图5,示出了根据本发明实施例五的一种用于云存储系统的密文数据安全检索装置的结构示意图。
本发明实施例的一种用于云存储系统的密文数据安全检索装置包括:
第二接收模块601,用于接收并存储数据拥有者发送的携带加密索引的密文文件,所述密文文件为上述实施例四的用于云存储系统的密文数据加密装置生成的或者根据上述实施例一的用于云存储系统的密文数据加密方法生成的;
第三接收模块602,用于接收数据检索者发送的待检索关键词的陷门,所述陷门为上述实施例五的用于云存储系统的密文数据安全检索装置生成的或者根据上述实施例一的用于云存储系统的密文数据安全检索方法生成的;
匹配模块603,用于查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配;
第三发送模块604,用于在匹配时将对应的密文文件发送至数据检索者。
可选地,所述匹配模块用于计算双线性映射e(C3,T2)和e(C2,T1),并检验等式Ci1e(C3,T2)=e(C2,T1)是否成立;如果成立,则确定加密索引与陷门匹配;如果不成立,则确定加密索引与陷门不匹配。
本实施例的用于云存储系统的密文数据安全检索装置用于实现前述实施例三中相应的用于云存储系统的密文数据安全检索方法,并具有相应的方法实施例的有益效果,在此不再赘述。
需要指出,根据实施的需要,可将本发明实施例中描述的各个部件/步骤拆分为更多部件/步骤,也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤,以实现本发明实施例的目的。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种用于云存储系统的密文数据加密方法,其特征在于,包括:
通过对称加密算法加密明文文件得到密文文件;
提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、系统主公钥分别计算每个关键词的加密索引;
将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
2.根据权利要求1所述的一种用于云存储系统的密文数据安全检索方法,其特征在于,还包括:
根据数据检索者的公钥,通过公钥密码算法加密对称加密算法中所用到的对称秘钥得到对称秘钥密文数据,将所述加密索引附在对称秘钥密文数据后;
所述将携带加密索引的密文文件发送至服务器,包括:
将携带加密索引和对称秘钥密文数据的密文文件发送至服务器。
3.根据权利要求1所述的一种用于云存储系统的密文数据安全检索方法,其特征在于,所述根据数据拥有者和数据检索者的身份信息、数据检索者的公钥分别计算每个关键词的加密索引,包括:
对于每个关键词wi随机地选择
Figure FDA0003700726670000011
并计算
Figure FDA0003700726670000012
C2=rH1(IDS)和C3=rPpub
设置关键词wi的加密的索引为
Figure FDA0003700726670000013
其中,1≤i≤n,IDS和IDR分别为数据拥有者和数据检索者的身份信息,H1,H2分别为两个安全的抵抗碰撞的哈希函数,Ppub为系统主公钥;
Figure FDA0003700726670000014
为系统参数,是素数p的整数模的乘法群;e(·,·)为一个双线性映射e:G×G→GT,G,GT分别为一个加法循环群和一个乘法循环群。
4.一种用于云存储系统的密文数据安全检索方法,其特征在于,包括:
根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门;
将所述待检索关键词的陷门发送至服务器;
接收服务器发送的待检索关键词对应的密文文件。
5.根据权利要求1所述的一种用于云存储系统的密文数据安全检索方法,其特征在于,所述为待检索关键词生成陷门,包括:
选择一个随机数应用哈希函数和乘法运算计算待检索关键词w′的陷门:Tw′=(T1,T2),其中,
Figure FDA0003700726670000021
T2=tH1(IDS);
式中,IDS和IDR分别为数据拥有者和数据检索者的身份信息;H1,H2分别为两个安全的抵抗碰撞的哈希函数;随机数
Figure FDA0003700726670000022
Figure FDA0003700726670000023
为系统参数,是大素数p的整数模的乘法群。
6.一种用于云存储系统的密文数据安全检索方法,其特征在于,包括:
接收并存储数据拥有者发送的携带加密索引的密文文件,所述密文文件为根据权利要求1-3中任一项所述的用于云存储系统的密文数据加密方法生成的;
接收数据检索者发送的待检索关键词的陷门,所述陷门为根据权利要求4或5所述的用于云存储系统的密文数据安全检索方法生成的;
查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配;
在匹配时将对应的密文文件发送至数据检索者。
7.根据权利要求1所述的一种用于云存储系统的密文数据安全检索方法,其特征在于,所述检验加密索引与陷门中的待检索关键词是否匹配,包括:
计算双线性映射e(C3,T2)和e(C2,T1),并检验等式Ci1e(C3,T2)=e(C2,T1)是否成立;
如果成立,则确定加密索引与陷门匹配;如果不成立,则确定加密索引与陷门不匹配。
8.一种用于云存储系统的密文数据加密装置,其特征在于,包括:
加密模块,用于通过对称加密算法加密明文文件得到密文文件;
计算模块,用于提取明文文件中的关键词,并根据数据拥有者和数据检索者的身份信息、数据检索者的公钥分别计算每个关键词的加密索引;
第一发送模块,用于将关键词的加密索引附在密文文件后,并将携带加密索引的密文文件发送至服务器。
9.一种用于云存储系统的密文数据安全检索装置,其特征在于,包括:
生成模块,用于根据数据检索者的私钥、数据拥有者的身份信息和系统主公钥,为待检索关键词生成陷门;
第二发送模块,用于将所述待检索关键词的陷门发送至服务器;
第一接收模块,用于接收服务器发送的待检索关键词对应的密文数据。
10.一种用于云存储系统的密文数据安全检索装置,其特征在于,包括:
第二接收模块,用于接收并存储数据拥有者发送的携带加密索引的密文文件,所述密文文件为根据权利要求8所述的用于云存储系统的密文数据加密装置生成的;
第三接收模块,用于接收数据检索者发送的待检索关键词的陷门,所述陷门为根据权利要求9所述的用于云存储系统的密文数据安全检索装置生成的;
匹配模块,用于查找存储的密文文件的关键词的加密索引,并检验加密索引与陷门中的待检索关键词是否匹配;
第三发送模块,用于在匹配时将对应的密文文件发送至数据检索者。
CN202210692607.5A 2022-06-17 2022-06-17 一种用于云存储系统的密文数据加密、安全检索方法及装置 Withdrawn CN115174600A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210692607.5A CN115174600A (zh) 2022-06-17 2022-06-17 一种用于云存储系统的密文数据加密、安全检索方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210692607.5A CN115174600A (zh) 2022-06-17 2022-06-17 一种用于云存储系统的密文数据加密、安全检索方法及装置

Publications (1)

Publication Number Publication Date
CN115174600A true CN115174600A (zh) 2022-10-11

Family

ID=83486057

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210692607.5A Withdrawn CN115174600A (zh) 2022-06-17 2022-06-17 一种用于云存储系统的密文数据加密、安全检索方法及装置

Country Status (1)

Country Link
CN (1) CN115174600A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117235803A (zh) * 2023-11-15 2023-12-15 联通(广东)产业互联网有限公司 基于数据要素的数据安全认证方法、装置和电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117235803A (zh) * 2023-11-15 2023-12-15 联通(广东)产业互联网有限公司 基于数据要素的数据安全认证方法、装置和电子设备
CN117235803B (zh) * 2023-11-15 2024-02-27 联通(广东)产业互联网有限公司 基于数据要素的数据安全认证方法、装置和电子设备

Similar Documents

Publication Publication Date Title
CN111835500B (zh) 基于同态加密与区块链的可搜索加密数据安全共享方法
US11381398B2 (en) Method for re-keying an encrypted data file
CN109614818B (zh) 可授权的基于身份的带关键词搜索加密方法
Kaaniche et al. A secure client side deduplication scheme in cloud storage environments
More et al. Third party public auditing scheme for cloud storage
US8462955B2 (en) Key protectors based on online keys
JP5224481B2 (ja) パスワード認証方法
US11316671B2 (en) Accelerated encryption and decryption of files with shared secret and method therefor
Chenam et al. A designated cloud server-based multi-user certificateless public key authenticated encryption with conjunctive keyword search against IKGA
Wen et al. BDO-SD: An efficient scheme for big data outsourcing with secure deduplication
CN109347923B (zh) 基于非对称密钥池的抗量子计算云存储方法和系统
Tian et al. An efficient scheme of cloud data assured deletion
CN109787747B (zh) 基于多个非对称密钥池的抗量子计算多重加密云存储方法和系统
CN112560075B (zh) 一种基于椭圆曲线的轻量级可搜索加密方法及装置
CN114448640A (zh) 一种双盲信息分发方法、装置及计算机可读存储介质
Deepa et al. An extensive review and possible attack on the privacy preserving ranked multi-keyword search for multiple data owners in cloud computing
KR101140576B1 (ko) 암호화 문서에 대한 다자간 검색 시스템 및 그 방법
CN115174600A (zh) 一种用于云存储系统的密文数据加密、安全检索方法及装置
Yan et al. Secure and efficient big data deduplication in fog computing
CN108920968B (zh) 一种基于连接关键词的文件可搜索加密方法
CN116545741A (zh) 一种基于区块链的代理重加密逆向防火墙方法
CN108259172B (zh) 云存储系统中的密文搜索方法
Navajothi et al. An efficient, dynamic, privacy preserving public auditing method on untrusted cloud storage
Jagadeesh et al. Hybrid AES-Modified ECC Algorithm for Improved Data Security over Cloud Storage
TWI381696B (zh) 基於利用個人化秘密的rsa非對稱式密碼學之使用者認證

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20221011

WW01 Invention patent application withdrawn after publication